為何選擇 CyberArk

CyberArk 是值得信賴的專家, 能夠協助企業防堵最緊要的網路攻擊,使營運不致受到影響。CyberArk 特權帳號安全解決方案包含了特權帳號管理/企業密碼金庫,以及特權連線管理。

 

企業密碼金庫 (Enterprise Password Vault®)

對整個企業 IT 環境內所使用的特權帳號密碼進行主動式防護、輪換和存取管控。

挑戰

特權帳號存在於網路內的每一件硬體和軟體,只要掌握特權密碼就能全權存取和掌控機密資訊、商務應用程式和關鍵的 IT 基礎結構。若能適當使用,這些帳號可用來維護系統、輔助自動化流程、保護機密資訊和確保業務不間斷,但若是落入有心人士手中,這些帳號就可能被用來竊取機密資料和對業務造成不可回復的損害。然而,有些企業因為在清查和管理特權帳號及其憑證上意識到操作上的困難,而疏於解決此類風險。

若要降低對未經授權存取特權帳號的相關風險,又不加重 IT 人員的負擔,企業應採用可對特權帳號憑證 ( 可比喻為是 IT 王國的鑰匙) 的存取進行主動式防護、輪換和管控的工具。若無此類防護措施,企業將會面臨多項挑戰,包括:

增加成功攻擊的風險。特權帳號是每個攻擊生命 週期中至為關鍵的一步。當門戶洞開時,攻擊者就能輕易地不法存取這些高權限帳號,並且利用這些帳號進行具破壞力、產生重大損失的攻擊。

稽核失敗和罰鍰。企業必須對通常為公用的特權 帳號存取進行控管和稽核才能符合規範。若沒有建立防護機制在各個層面上針對此類存取進行控管和稽核,企業可能面臨稽核不良和懲罰性罰鍰。

高營運成本。為了符合法規,部分 IT 團隊被派 以人工方式輪換和更新特權帳號憑證的工作。這種程序相當耗時並且容易出現人為錯誤。沒有可以跨系統自動化和同步密碼變換的恰當工具,企業可能面臨高營運成本以及因帳號意外鎖定所造成的工作效率損失。

解決方案

CyberArk 企業密碼金庫 (CyberArk Enterprise Password Vault) 是根據組織政策來防護,輪換和控管對特權帳號密碼的存取所設計。本解決方案已經過實證可在最大型、最複雜的企業 IT 環境下擴充,並且可以保護用於存取絕大多數系統的特權帳號密碼。擁有 CyberArk 企業密碼金庫,企業就可以:

  • 清查特權帳號。CyberArk 企業密碼金庫會自動 檢索和清查整個 IT 環境內的帳號。管理員可選擇應該加以保護的帳號或帳號群組,並自動將其佈建至數位金庫。
  • 保護特權帳號密碼。一經佈建,特權密碼就會 在 CyberArk 數位金庫 (CyberArk Digital Vault) 內集中獲得防護。CyberArk 數位金庫包括多重內建安全層,可為特權帳號資訊提供最嚴密的防護。
  • 強制嚴格存取控管和作業流程。CyberArk 企業 密碼金庫依照組織政策強制嚴格存取控管和作業流程。本解決方案不但可讓已授權的使用者存取日常例行工作所需的特權帳號,並且支援自動化作業流程,讓使用者能夠視需要根據正當的業務理由,要求存取更高特權的帳號。
  • 自動輪換密碼。本解決方案可依照既定政策, 自動輪換和同步特權帳號密碼。密碼可以在每次使用後、定期或依照需要自動輪換。
  • 稽核特權帳號的使用。CyberArk 企業密碼金庫 規定使用者必須先「簽出」密碼後才能存取特權或共用帳號,並且可以要求使用者在要求存取更高特權的帳號時提供具體的正當理由。如此可以建立詳細的稽核記錄,並讓安全和稽核單位輕鬆地報告何人在何時因何種原因存取了什麼。
  • 自動使可能受入侵的憑證失效。本解決方案能夠接收由 CyberArk 特權帳號威脅分析 (CyberArk Privileged Threat Analytics) 所發出有關有可能受入侵之特權帳號的警訊。收到警訊時,本解決方案會立即輪換受影響的密碼以使該憑證失效。

優勢

CyberArk 企業密碼金庫主動防護 IT王國的鑰匙,協助企業保護機密系統資料免於外部攻擊者和惡意的內部人員的侵害。本解決方案讓企業:

  • 了解特權帳號的範圍。掌握有哪些特權帳號以及誰能夠存取這些帳號,以根據企業的風險承受能力建構有效的特權帳號安全性政策。
  • 降低對未授權的特權帳號存取的風險。集中防護特權密碼以預防特權憑證遺失、遭竊或遭到不法共用,並且緩和未授權存取特權帳號的風險。
  • 緩和內部攻擊的風險。主動防範內部未經授權的人員存取特權帳號憑證,並且分層分級追蹤所有特權帳號的存取狀況,以防止經授權的內部人員濫用特權造成損害。
  • 限縮攻擊者得逞的機會。將密碼的使用週期降至最低,以大幅地限縮攻擊者利用竊取的憑證存取特權帳號的空窗期。
  • 自動抑制特權帳號的威脅。透過立即使可能受入侵的特權帳號失效,以加速事件反應以及自動化威脅封鎖。
  • 稽核人員一目了然。讓稽核人員清楚看到設有哪些特權帳號政策和流程,並且輕鬆報告哪些個別使用者在何時因何種原因存取了什麼。
  • 為已授權的特權使用者簡化使用者體驗。讓使用者無須人工管理多組憑證,而改採用單一登入整個企業內的特權帳號。
  • 減少 IT 人員的作業負擔。免除手動輪換密碼這類耗時又繁複的工作,讓 IT 人員專注在更具策略性的專案上。
  • 充分發揮 IT 投資的價值。利用創新的整合方式,徹底發揮互補性的投資,例如健全的驗證、票證核發、身分識別存取和管理,以及 SIEM 解決方案。

 CyberArk PTA

全方位的解決方案

CyberArk 企業密碼金庫是 CyberArk 特權帳號安全解決方案 (CyberArk Privileged Account Security Solution) 的一個元件,這是一套完整的解決方案,可主動防護、隔離、控管和持續監控虛擬和實體伺服器、資料庫、網路裝置、hypervisor、安全裝置、SaaS 和商務應用程式等上面的特權帳號。本解決方案包含 CyberArk SSH 金鑰管理器 (CyberArk SSH Key Manager),這是用於防護和管理另一種強大特權憑證的 SSH 金鑰的解決方案。CyberArk 特權帳號安全解決方案的所有原件皆共用單一共同的基礎結構,讓客戶可以擴展解決方案,以滿足業務需求的變化。本解決方案內的產品可單獨進行管理,或是結合成一套整合性和全面性的特權帳號安全解決方案。

加密演算法:

  • AES-256RSA-2048
  • 硬體安全模組 (HSM) 整合
  • 通過 FIPS 140-2 驗證的加密編譯

存取和作業流程管理:

  • LDAP 目錄
  • 身分和存取管理
  • 票證核發和作業流程系統

多語言入口網站:中文英文、法文、德文、西班牙文、俄文、日文

驗證方法:使用者名稱和密碼、RSA SecurIDWeb SSORADIUSPKI 和智慧卡、LDAPSAML

監控:SIEM 整合、SNMP 陷阱、電子郵件通知

支援的管理裝置 (列舉部分):

  • 作業系統:Windows*NIXIBM iSeriesZ/OSOVMSHP Tandem*MAC OSX*ESX/ESXiXenServers
  • Windows 應用程式:服務帳號包括 SQL 伺服器叢集服務帳號、排定的工作、IIS 應用程式集區、COM+IIS 匿名存取、叢集服務
  • 資料庫:OracleMSSQLDB2InformixSybaseMySQL 和任何 ODBC 相容的資料庫
  • 安全裝置:CheckPointCiscoIBMRSA Authentication ManagerJuniperBlue Coat*TippingPoint*SourceFire*Fortinet*WatchGuard*Industrial Defender*Acme Packet*Critical Path*Symantec*Palo Alto*
  • 網路裝置:CiscoJuniper*Nortel*HP*3com*F5*Nokia*Alcatel*Quintum*Brocade*Voltaire*RuggedCom*Avaya*BlueCoat*Radware*Yamaha*McAfee NSM*
  • 應用程式:CyberArkSAPWebSphereWebLogicJBOSSTomcatCiscoOracle ERP*Peoplesoft*TIBCO*
  • 目錄:MicrosoftOracle SunNovellUNIX 合作廠商、CA
  • 遠端控制監控:IBMHP iLOSunDell DRACDigi*Cyclades*Fijitsu*
  • 虛擬環境:VMware vCenter ESX
  • 儲存裝置:IBMHP iLOSunDell DRACDigi*Cyclades*Fijitsu*
  • 雲端應用程式:FacebookMicrosoft Azure ManagementAmazon Web ServicesTwitter*SalesForce*LinkedIn*Microsoft 365*
  • OT/SCADA: GE*Industrial Defender*RuggedCom*
  • 通用介面:所有 SSH/Telnet 裝置、Windows 登錄檔、所有 Web 應用程式,例如:FacebookWMI 遠端命令執行、資料庫資料表內儲存的密碼、設定檔 (一般、INIXML)

特權連線管理員 (Privileged Session Manager)

隔離、監控和管制特權帳號連線以縮減威脅的範圍,快速偵測和回應可疑的活動,並且確認合規性。

挑戰

特權帳號可存取關鍵系統和機密商業資訊,如果遭到濫用,特權帳號也可能造成有毀滅性之虞的損害。若要保護企業的核心,企業應對特權帳號的活動採用「零信任」(Zero Trust) 機制。

這種機制包括主動監控和記錄特權連線,以協助防範居心不良的內部人員、第三方使用者或外部攻擊者破壞系統,或未經授權而存取機密資料。企業也應該隔離特權連線,以確保惡意軟體無法從使用者端點擴散至關鍵的系統。若沒有主動管理特權連線,企業將面臨多種風險,包括:

  • 對關鍵系統造成有意或無意的破壞。使用者 更容易在僥倖的心態下濫用自己的特權。此類濫用,不論是惡意、不小心或是單純為了方便,都會對企業造成巨大的損害。
  • 增加受到高階威脅的機會。當使用者直接連 線至遠端系統上的特權帳號時,特權憑證就暴露在使用者所在的端點,而可能在該處被駭或被重複利用以獲得未經授權的特權存取機密系統。
  • 高管理成本及增加資料洩漏的風險。若無法 輕鬆搜尋、找出和審查可疑活動,取證分析可能非常困難且耗時。人工流程既緩慢且管理成本高,使事件應變人員難以迅速在損害擴大前阻擋攻擊者。
  • 法規稽核失敗和高額的罰鍰。數項法規規定 企業必須追蹤和監控所有包含機密和受監管資料的系統的存取。無法監控此類存取可能導致稽核不合格、處罰和高額罰鍰。

解決方案

CyberArk 特權連線管理員 (CyberArk Privileged Session Manager) 是關鍵系統的中央存取控管點,可以讓企業隔離、監控和控管所有特權連線活動。以安全為重建置而成的 CyberArk 特權連線管理員已獲 Common Criteria 和 UC APL 認證。本解決方案可擴充以滿足大型企業的需求, 同時又能便利使用者。

CyberArk 特權連線管理員可以讓企業:

  • 隔離關鍵系統。充當安全代理伺服器,本解 決方案可以將端點從目標系統分隔,並且隔離特權使用者的連線。如此有助於限制攻擊者在網路內橫向移動的能力,並且可以防止惡意軟體從終端使用者裝置擴散至目標系統。
  • 監控和記錄特權連線。本解決方案能夠讓企 業即時地監控特權連線活動,讓安全人員可以偵測特權帳號的濫用;也可以記錄特權使用者的活動,並且產生詳細的稽核記錄檔和視訊錄影。在與 CyberArk 特權帳號威脅分析 (CyberArk Privileged Threat Analytics) 整合時,可針對已記錄的連線指派風險值評分, 協助安全和稽核人員決定該對哪些連線優先審查。
  • 迅速對威脅作出反應。稽核記錄檔和記錄會 安全地儲存在抗竄改的數位金庫中,以防範惡意軟體使用者修改自己的活動蹤跡。記錄檔資料可以即時傳送至 CyberArk 特權帳號威脅分析,讓安全人員能夠自動偵測高風險的活動,並且快速地對可能的事件作出反應。必要時,安全人員更可以從遠端終止可疑的連線以阻斷潛在的攻擊。
  • 控管第三方對特權帳號的使用。第三方使用者,例如合作廠商或顧問,通常與企業間並沒有直接建立的信賴關係,並且一般是從未受管理的端點存取關鍵系統,而造成更高的安全風險。為了減緩此類風險,CyberArk 特權連線管理員讓企業隔離並監控第三方連線的活動,以迅速識別未經核准而可能造成損害的活動。
  • 防止對關鍵系統的直接存取。本解決方案可以設定成關鍵系統的唯一存取點,規定使用者必須先通過 CyberArk 解決方案的驗證後,才能存取目標系統。由於監控是在代理伺服器上進行,而非透過目標系統上的代理程式,因此有經驗的使用者也無法停用控管機制。並且,若與 CyberArk 企業密碼金庫 (Enterprise Password Vault) 整合,企業就可在不將目標系統的憑證暴露給使用者或其裝置下,提供特權存取。
  • 在不影響使用者體驗下提供安全的特權存取。 一旦通過 CyberArk 解決方案的驗證,使用者只要按一下滑鼠就可以直接存取目標系統。CyberArk 解決方案讓使用者從自己的原生環境存取目標系統,藉此保有使用者體驗。
  • 符合法規規範。CyberArk 特權連線管理員協 助企業達到法規強制主動監控和記錄特權連線的規定。為確認符合相關法規,可授權稽核人員存取唯讀連線的稽核記錄檔和視訊記錄。

全方位的特權帳號安全性解決方案

透過隔離、監控和控管特權活動,企業可以縮減攻擊面、偵測高風險的特權使用者活動並作出反應,以及確實遵守業界法規。CyberArk 特權連線管理員可與CyberArk 特權帳號安全解決方案 (CyberArk Privileged Account Security Solution) 完美整合,讓企業能夠從單一共同的基礎結構保護特權帳號憑證、控管和監控使用者活動,以及快速偵測潛在的威脅並作出反應。

可連線至:

Unix、Linux 和 Network 裝置:SSH , Telnet

Windows:Windows RDP , Windows Remotely Anywhere , Windows RAdmin 工作階段

IBM:OS/390 (Z/OS) , AS400 (iSeries)

網站和應用程式:網站架構應用程式 * , SAP*

資料庫:Oracle , Microsoft SQL Server

虛擬環境:vSphere / vCenter / ESX hosts , HyperV 主控台

雲端、SaaS 和社群媒體:Amazon (AWS) , Azure , Office365* , Salesforce* , Facebook* , Twitter* , 和其他等等 ...

遠端存取:Citrix* , VNC

儲存裝置:NetApp*

通用連接器:所有其他平台監控功能皆可透過通用連接器 輕易加入*